해커들은 역사상 가장 큰 공급망 공격이라고 불리는 광범위한 JavaScript 소프트웨어 라이브러리를 손상시켰습니다. 주입된 멀웨어는 지갑 주소를 교환하고 거래를 가로채 암호화폐를 훔치도록 설계된 것으로 알려졌습니다.
월요일의 여러 보고서에 따르면 해커는 유명 개발자의 노드 패키지 관리자(NPM) 계정에 침입하여 수백만 개의 앱에서 사용하는 인기 있는 JavaScript 라이브러리에 비밀리에 맬웨어를 추가했습니다.
악성 코드는 암호화폐 지갑 주소를 교환하거나 하이재킹하여 잠재적으로 많은 프로젝트를 위험에 빠뜨릴 수 있습니다.
“대규모 공급망 공격이 진행 중입니다: 평판이 좋은 개발자의 NPM 계정이 손상되었습니다.” Ledger의 최고 기술 책임자인 Charles Guillemet은 월요일에 경고했습니다. 영향을 받는 패키지는 이미 10억 번 이상 다운로드되었으며, 이는 전체 JavaScript 생태계가 위험에 처할 수 있음을 의미합니다.”
이 침해는 수많은 프로젝트의 종속성 트리 깊숙이 묻혀 있는 소규모 유틸리티인 분필, 스트립 앤시, 컬러 컨버터와 같은 패키지를 표적으로 삼았습니다. 이러한 라이브러리는 매주 10억 번 이상 다운로드되므로 직접 설치한 적이 없는 개발자도 노출될 수 있습니다.
NPM은 개발자를 위한 앱 스토어와 같으며, JavaScript 프로젝트를 구축하기 위해 작은 코드 패키지를 공유하고 다운로드하는 중앙 라이브러리입니다.
공격자들은 자금을 전용하기 위해 거래 중에 지갑 주소를 자동으로 교체하는 멀웨어 유형인 크립토 클리퍼를 심은 것으로 보입니다.
보안 연구원들은 소프트웨어 지갑에 의존하는 사용자는 특히 취약할 수 있지만 하드웨어 지갑의 모든 거래를 확인하는 사용자는 보호된다고 경고했습니다.
피싱 이메일을 통해 공격자는 NPM 관리자 계정에 액세스할 수 있었습니다.
공격자들은 공식 NPM 지원을 가장한 이메일을 보내 9월 10일까지 이중 인증을 “업데이트”하지 않으면 계정이 잠길 것이라고 관리자에게 경고했습니다.
가짜 사이트는 로그인 자격 증명을 캡처하여 해커가 관리자의 계정을 제어할 수 있도록 했습니다. 공격자는 일단 침입하면 매주 수십억 건의 다운로드가 있는 패키지에 악성 업데이트를 푸시했습니다.
Aikido Security의 연구원인 Charlie Eriksen은 BleepingComputer에 이 공격이 “웹사이트에 표시된 콘텐츠 변경, API 호출 변조, 사용자 앱이 서명하고 있다고 믿는 것을 조작하는 등 여러 계층에서 작동하기 때문에 특히 위험하다”고 말했습니다.
이것은 발전 중인 이야기이며 추가 정보가 나오는 대로 추가될 것입니다.
매거진: 실제 사용자로부터 암호화폐 에어드랍을 훔치는 30,000명의 폰 봇 팜 내부